• [목차]

윤진 ⇒ JWT가 활용되는 곳 모바일, access token&refresh token 보안 강화

도균 ⇒ JWT 서버의 관리

인증 방식의 종류 - Cookie, Session, Token

• Cookie

  • 단점]
  • 보안취약(브라우저에서 쉽게 접근가능하고, 서버-클라 통신간에 개인정보가 담긴 쿠키를 주고받기때문에 탈취 위험증가), -쿠키 용량 제한
  • 브라우저간 공유 불가(같은 클라이언트라도 브라우저간에 쿠키를 공유하지 않는다. 즉, 한 브라우저의 쿠키는 다른 브라우저에 무쓸모)

• Session

  • 개선점]

  • 비교적 보안강화 (쿠키와 달리 서버-클라 통신간에 개인정보가 아닌, 그러한 데이터 공간의 key인 세션ID를 주고받음. 따라서 세션ID가 탈취되어도 당장 개인정보가 유출된 것은 아님.)

  • 단점]

    • 그럼에도 불구하고 보안! 세션ID를 탈취해서 위장공격 가능
    • 세션은 생성 및 관리에 서버의 리소스를 사용하므로 서버부하 증가

• Token

  • 토큰기반 인증?

    • 토큰 기반 인증 동작과정

  • 개선점]

    • 토큰의 payload에 이미 사용자 정보가 담겨있으므로 서버는 DB/세션을 조회하지 않아도 사용자 식별이가능하다. (따라서 서버 부하 완화)

  • 단점]

    • 쿠키/세션에 비해 토큰 자체의 용량이 커서 네트워크 부하가 심해질 수 있다.

    • signature를 통해 토큰의 진위를 파악할 수는 있으나, payload 내용 자체를 암호화하는 것은 아니기 때문에 사용자의 주요 정보는 담을 수 없다.

    • 토큰자체를 탈취당하면 대처하기 어렵다. (이미 토큰에 사용자 인증까지 완료된 상태이므로… 따라서 토큰도 만료시간을 설정하는 식으로 이를 극복한다.)

JWT란?

• JWT (JSON Web Token)이란, 인증에 필요한 정보들을 암호화시킨 JSON토큰을 의미한다.
• JWT 기반 인증 : JWT토큰을 HTTP헤더에 실어 서버가 클라이언트를 식별할 수 있다.

JWT 구조

• JWT는 [Header.Payload.Signature] 구조의 JSON 객체를 Base-64로 인코딩하여 직렬화한 것이다.
• JWT는 “Header.Payload.Signature” 세가지 문자열의 조합이다.

  • header : JWT에서 사용할 타입과 해시알고리즘 종류

  • payload : 토큰에 담을 정보. content. (서버에서 첨부한 사용자 권한 정보와 데이터)

  • signature : header와 payload의 인코딩 값을 합친 뒤, 비밀키로 hash하여 생성한다.

    

JWT 기반 인증 동작과정

1. [클라이언트] 사용자가 ID, PW를 입력하여 서버에 로그인 인증을 요청한다.서버에서 클라이언트로부터 인증 요청을 받으면, Header, PayLoad, Signature를 정의한다.

2. [서버] Hedaer, PayLoad, Signature를 각각 Base64로 한 번 더 암호화하여 JWT를 생성하고 이를 쿠키에 담아 클라이언트에게 발급한다.
3. [클라이언트] 클라이언트는 서버로부터 받은 JWT를 로컬 스토리지에 저장한다. (쿠키나 다른 곳에 저장할 수도 있음) API를 서버에 요청할때Authorization header에 Access Token을 담아서 보낸다.
4. [서버] 서버가 할 일은 클라이언트가 Header에 담아서 보낸 JWT가 내 서버에서 발행한 토큰인지 일치 여부를 확인하여 일치한다면 인증을 통과시켜주고 아니라면 통과시키지 않으면 된다. 인증이 통과되었으므로 페이로드에 들어있는 유저의 정보들을 select해서 클라이언트에 돌려준다.
5. [클라이언트] 클라이언트가 서버에 요청을 했는데, 만일 액세스 토큰의 시간이 만료되면 클라이언트는 리프래시 토큰을 이용해서 서버로부터 새로운 엑세스 토큰을 발급 받는다.

JWT 장단점